EU Cybersecurity Act: Ein erster Schritt

Veröffentlicht am: 26. Juli 2018 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik Keine Kommentare

Die Europäische Union will endlich beim Thema Cybersecurity vorankommen. Dazu wurde bereits vor einiger Zeit ein Maßnahmenpaket, der sogenannte EU Cybersecurity Act, angekündigt. Mitte Juli hatte der federführende Ausschuss für Industrie, Forschung und Energie des EU-Parlaments über die Verordnung abgestimmt. Ab Mitte September folgen dann Debatte und Abstimmung im EU-Parlament. Danach geht es in die Konsensfindung mit EU-Rat und Kommission. Bis die Verordnung endgültig kommt, werden also noch einige Wochen und Monate vergehen. Doch reicht der Cybersecurity Act als einzige Maßnahme für mehr IT-Sicherheit in Europa aus?

Am Ball bleiben

Der Cybersecurity Act beinhaltet im Wesentlichen zwei Punkte: In Zukunft wird es ein EU-weit gültiges Zertifizierungsschemata für alle IP-fähigen Produkte – vom Router über Fernseher bis zur IP-Kamera – geben. Die Zertifizierung erfolgt für die meisten Produkte auf freiwilliger Basis. Außerdem werden die Kompetenzen der ENISA, die Europäische Agentur für Netz- und Informationssicherheit, erweitert und gestärkt. Das sind zwei richtige und wichtige Maßnahmen. Doch die EU muss nun am sprichwörtlichen Ball bleiben.

Die grundlegende Idee, die hinter dem Cybersecurity Act steht, – nämlich das Vertrauen der Verbraucher in ITK-Produkte zu stärken und das Cybersicherheitsniveau in der EU effektiv zu erhöhen – muss nun konsequent weitergeführt und zu Ende gedacht werden. Der Cybersecurity Act kann nur ein Puzzlestück in der IT-Sicherheitsstrategie der EU sein. Darüber hinaus brauchen wir noch weitere effiziente Maßnahmen.

Mindeststandards und Update-Pflicht müssen kommen

Ich denke dabei unter anderem an die Formulierung und Vorgabe klarer Mindeststandards für die IT-Sicherheit aller internetfähigen Produkte. Dies würde hohe Hürden für den Markteintritt von Billig-Anbietern mit mangelnder IT-Sicherheit schaffen. Verbraucher und Unternehmen ließen sich so effizient vor unüberschaubaren Risiken schützen.

Ein weiterer Punkt, der uns schnell und effizient bei der Erhöhung des IT-Sicherheitsniveaus voranbringen würde, ist die Update-Pflicht für Hersteller von IP-fähigen Produkten. Es ist enorm wichtig, dass wir hier weiterkommen. Insbesondere vor dem Hintergrund, dass die Zahl internetfähiger Geräte auch in den nächsten Jahren weiter zunehmen wird. Gerade die Märkte im Consumer-Bereich und im Internet-of-Things (IoT) – denken Sie mal an Smartphones & Co., aber auch an das Smart Home mit seinen vernetzten Hausgeräten wie Fernseher, Kühlschränken oder Heizungen – werden schon heute mit Devices geradezu überflutet, die teilweise keine oder nur für kurze Zeit Sicherheits-Updates erhalten – manche sind nicht einmal Update-fähig! Mit einer per Gesetz verankerten Update-Pflicht kämen vor allem die Unternehmen in Zugzwang, die bisher wenig oder gar kein Augenmerk in ihrem Produkt-Design-Prozess auf die Sicherheit gelegt haben.

Durchschlagskräftiges Bündel für mehr Cybersicherheit

Beide Themen werden in Deutschland bereits lebhaft von Politik und Wirtschaftsvertretern diskutiert. Hier gilt es, in den nächsten Monaten weitere Fortschritte zu machen!

Der EU Cybersecurity Act wird als Alleinmaßnahmen nur einen marginalen Effekt erzielen. In Kombination mit Mindeststandards und Update-Pflicht würde aber ein durchschlagskräftiges Bündel zur Erhöhung der Cybersecurity in der EU geschnürt. Für unsere deutschen Europapolitiker gilt es also, die nationalen Initiativen nach Brüssel zu tragen, um sie dort ebenfalls schnellstmöglich auf die Agenda zu setzen.

 

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.